포스팅 내용

국내외 보안동향

WireX DDoS 봇넷: 해킹 된 안드로이드 스마트폰 수 천대로 이루어진 군대

WireX DDoS Botnet: An Army of Thousands of Hacked Android SmartPhones


공식 앱스토어에서 앱을 내려받아도 이제 더 이상 안전하다고 생각하면 안되겠습니다. 


최근 여러 보안업체의 보안연구원들이 해킹 된 안드로이드 스마트폰 수만대로 이루어진 새로운 봇넷을 발견하였습니다. 


WireX라 명명 되고 “Android Clicker”라 탐지 되는 이 봇넷은 주로 구글 플레이 스토어를 통해 설치된 수백개의 악성코드들이 포함되어 있었습니다. 또한 이는 대규모의 어플리케이션 레이어의 DDoS 공격을 실행하도록 설계 되었습니다.


Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru 등의 보안 및 인터넷 기술 회사들은 이달 초 다수의 사이버 공격들을 발견해, 이를 해결하기 위해 서로 협력해왔습니다.


요즘 안드로이드 악성코드 캠페인은 꽤 흔히 발생하고 있으며, 새로이 발견 된 이 캠페인도 그다지 정교하지 않습니다. 하지만 다수의 보안 회사들이(이중 절반은 경쟁업체) 봇넷을 무력화 시키기 위하여 협력하고 정보를 공유하는 등 해결 방식이 꽤 인상깊었습니다.


<이미지 출처 : http://thehackernews.com/2017/08/android-ddos-botnet.html>



WireX 봇넷은 이달 초 작은 규모의 DDoS 공격을 실행하는데 사용 되었지만, 8월 중순 이후 공격이 확대 되기 시작했습니다.


이 “WireX” 봇넷은 이달 초 이미 최대 120,000대의 안드로이드 스마트폰을 감염 시켰으며, 지난 8월 17일, 연구원들은 100개국 이상의 감염 된 모바일 기기 70,000대 이상으로부터 발생한 대규모 DDoS 공격(주로 HTTP GET 요청)을 발견했습니다.


만약 당신의 웹사이트가 DDoS 공격을 받은 경우, WireX 봇넷인지 확인하기 위해서는 아래의 User-Agent 패턴을 확인해보면 됩니다.


<이미지 출처 : http://thehackernews.com/2017/08/android-ddos-botnet.html>


추가 조사를 통해, 보안 연구원들은 구글의 공식 플레이스토어에서 300개 이상의 악성 앱들을 발견했습니다. 이들은 미디어, 비디오 플레이어, 벨소리, 스토리지 관리 및 앱스토어를 위한 툴로 위장하고 있었으며 악성 WireX 코드를 포함하고 있었습니다.


다른 많은 악성 앱들 처럼, WireX 앱들은 탐지를 피하고 구글 플레이 스토어에 등록 되기 위해 즉시 악성 행위를 하지는 않으며, "axclick.store"의 서브 도메인 여러 개에 위치한 C&C 서버로부터 명령어를 기다립니다.


구글은 300개의 WireX 앱들 중 대부분을 발견해 차단했습니다. 이 앱들은 대부분 러시아, 중국 및 다른 아시아 국가에서 다운로드 되었습니다. 하지만, WireX 봇넷은 아직도 소규모로 운영 되고 있는 것으로 나타났습니다.



<이미지 출처 : http://thehackernews.com/2017/08/android-ddos-botnet.html>


기기에서 구글의 플레이 프로텍트 기능을 포함한 최신 버전의 안드로이드 OS를 사용하고 있다면, 구글은 자동으로 기기에 설치 된 WireX 앱들을 제거할 것입니다.


플레이 프로텍트는 머신 러닝 및 앱 사용 분석을 통해 사용자의 안드로이드 기기로부터 악성 앱을 제거할 수 있는 구글이 새로이 추가한 보안 기능입니다.






출처 :

http://thehackernews.com/2017/08/android-ddos-botnet.html

https://blog.cloudflare.com/the-wirex-botnet/



티스토리 방명록 작성
name password homepage